发动钓鱼邮件的攻击者为了规避邮件系统初步侦测,最近几年开始会采用一些电子邮件附件较为罕见的文件格式,来附带作案工具,例如,6月底有安全研究人员发现,有攻击者使用了Windows镜像文件格式WIM(WindowsImageFormat)的文件,作为钓鱼邮件的附件,目的是为了传播恶意软件AgentTesla。而恶意程序代码免疫系统供应商Intezer,他们在7月7日公布了一起针对能源产业的钓鱼邮件攻击事故,并认为黑客攻击行动时间至少为期一年,而且攻击者发送的邮件里,都会包含IMG、ISO,或是CAB文件格式的附件。
关于这起攻击行动遭到锁定的目标,Intezer指出主要是针对能源、石油、天然气,以及电子业的大型国际公司。不仅如此,黑客还针对了石油与天然气的供应商下手,因此,Intezer研判,这波攻击很可能是整起行动的第一阶段。一旦攻击者成功入侵供应商,他们可以运用可掌控的电子邮件账号,来向受害公司的合作伙伴发送钓鱼邮件,让这些合作厂商更难发现异状。
而从攻击的范围来看,黑客攻击了世界各地的公司,包括美国、德国,以及阿拉伯联合酋长国(UAE)等。不过,Intezer认为,攻击者的主要目标是韩国公司。
再者,钓鱼邮件的内容与公司业务往来相关,像是报价请求(RFQ)、合约,以及投标文件等。研究人员强调钓鱼邮件的内容几可乱真,看起来像是两家公司之间的往来信件,而使得受害者难以发现有异──攻击者使用了公司的真实地址、商标,以及电子邮件信箱,甚至会提及高端主管,而且,上述邮件的内容,也与遭锁定的公司实际业务相关。
研究人员举出其中一封钓鱼邮件内容为例,攻击者假冒现代工程公司(HyundaiEngineeringCo,HEC)的名义,谎称要参与巴拿马联合循环发电厂(CombinedCyclePowerPlant)的设备投标,要求对方若要参与设备的投标,就要在截止日期前提交标案资料,并宣称标案的细节和需求,附随于附件文件之中。但实际上,附件包含了恶意软件,一旦收信人信以为真打开附件文件,计算机就可能会被植入恶意软件。
为了让受害人降低戒心,攻击者还运用了误植域名(Typosquatted)的手法,这些寄信者的域名疑似已被事先注册,目的是让收件者认为电子邮件来自受信任的实体,一旦收件者稍不留意,很有可能认为电子邮件是从合法公司发出。Intezer指出,许多被盗用的域名名称,模仿韩国公司的合法名称“
转载请注明:http://www.0431gb208.com/sjszjzl/1420.html
